Clear
Lead Graphic Papers

Security Information Manager (1)

ผู้เขียน: รณนเรศร์ เรืองจินดา
วันที่เผยแพร่: 30 ตุลาคม 2556
ปรับปรุงล่าสุด: 30 ตุลาคม 2556

Share on Facebook Share on Twitter Share on Google+

ในระบบคอมพิวเตอร์ เครื่องแม่ข่าย และอุปกรณ์เครือข่ายแทบทุกชนิด มีความสามารถในการเก็บข้อมูลบันทึกเหตุการณ์ (log หรือ event log) หลายองค์กรใช้วิธีตั้งเครื่องแม่ข่ายกลางขึ้นมาเพื่อรวบรวมข้อมูล log จากอุปกรณ์ต่าง ๆ ทั้งเพื่อให้เป็นไปตามกฎหมาย (ในกรณีที่เป็นผู้ให้บริการที่ต้องบันทึกข้อมูลจราจรทางคอมพิวเตอร์) และเพื่อให้สอดคล้องกับมาตรการความมั่นคงปลอดภัยสารสนเทศ ที่น่าสนใจคือ ในสถานการณ์ปรกติ ผู้ดูแลระบบโดยทั่วไปมักไม่ค่อยมีเวลาพิจารณาข้อมูลดังกล่าวเพราะข้อมูลดังกล่าวมีปริมาณมาก และแต่ละอุปกรณ์ก็มีรูปแบบการบันทึกและข้อมูลสำคัญที่ต้องพิจารณาแตกต่างกันออกไป การวิเคราะห์ข้อมูล logจึงมักทำกันเมื่อมีเหตุการณ์ผิดปรกติเกิดขึ้นแล้วซึ่งก็มักจะไม่ทันการณ์ เพราะความเสียหายได้เกิดขึ้นแล้ว นอกจากนี้การรายงานสถานะระบบหรือแนวโน้มภัยคุกคามสารสนเทศด้วยข้อมูลเชิงสถิติจากข้อมูล log ก็ยิ่งแทบจะเป็นไปไม่ได้เลย ในมุมของความมั่นคงปลอดภัยกับข้อมูล log แล้ว คำถามสำคัญก็เห็นจะไม่พ้นว่าจะมีวิธีการหรือระบบอะไรที่จะช่วยในการ

  • วิเคราะห์และคัดกรองข้อมูล log เพื่อแจ้งเตือนเมื่อเกิดความผิดปรกติ
  • วิเคราะห์ความสัมพันธ์ของข้อมูล log จากอุปกรณ์หลาย ๆ แบบเพื่อให้เห็นแนวโน้มในภาพรวม
  • จัดเก็บข้อมูล log ทั้งหลายให้เป็นรูปแบบเดียวกันเพื่อประโยชน์ในการสืบค้น (query)
  • นำข้อมูล log เสนอเป็นรายงานความสอดคล้องตามกฎเกณฑ์มาตรฐาน (compliance) ที่กำหนดเป็นอาทิ

ในการตอบคำถามข้างต้น หลายคนคงนึกถึง คำสามคำต่อไปนี้ คือ SEM (Security Event Manager), SIM (Security Information Manager) , และ SIEM (Security Information and Event Manager) ในปัจจุบันอาจกล่าวได้ว่าทั้งสามคำนี้หมายถึงอุปกรณ์ประเภทเดียวกัน เพียงแต่มีความสามารถต่างกัน โดยที่ SEM นั้นเน้นไปที่รวบรวมและจัดเก็บ log จากอุปกรณ์ต่าง ๆ เน้นการประมวลผลแบบ real time มีพื้นที่การจัดเก็บข้อมูลและความสามารถในการวิเคราะห์หาความสัมพันธ์ของข้อมูล log จำกัด ในขณะ SIM เน้นไปที่ความสามารถในการวิเคราะห์หาความสัมพันธ์และแนวโน้มของข้อมูล log ซึ่งต้องมีเนื้อที่ในการจัดเก็บ และหน่วยประมวลผลที่ใหญ่กว่า ถ้าให้เทียบกับระบบจัดการฐานข้อมูลก็อาจกล่าวได้ว่า SEM เทียบได้กับการฐานข้อมูลที่ตั้งค่าไว้ให้เป็น OLTP ในขณะที่ SIM เทียบได้กับฐานข้อมูลที่ตั้งค่าให้ทำงานในแบบ OLAP ส่วน SIEM คือระบบที่รวมความสามรถของทั้ง SEM และ SIM เข้าด้วยกัน และเพิ่มความสามารถในการวิเคราะห์ข้อมูล log และด้านความมั่นคงปลอดภัยอื่น ๆ อาทิ ความสามรถในการบริหารจัดการภัยคุกคาม (Incident Management) ความสามารถในการระบุรูปแบบ ข้อมูล log ที่ตรงกับรูปแบบภัยคุกคามที่เก็บรวบรวมไว้ในฐานความรู้ ให้คำแนะนำทั่วไปในการแก้ปัญหาเมื่อตรวจพบช่องโหว่ของระบบผ่านการวิเคราะห์ข้อมูล log หรือการออกรายงานรายงานความสอดคล้องตามกฎเกณฑ์มาตรฐานต่าง ๆ ติดตั้งมาแบบพร้อมใช้ เป็นต้น ปัจจุบันความก้าวหน้าทางเทคโนโลยีและราคาที่ถูกลงของฮาร์ดแวร์ ทำให้ผู้ผลิตระบบประมวลผลข้อมูล log เพิ่มความสามารถในผลิตภัณฑ์ของตนเองและเรียกระบบเหล่านี้เป็น SIEM แทบทั้งสิ้น หากจะให้นิยามระบบดังกล่าว อย่างน้อยต้องมีความสามารถดังต่อไปนี้

Data Collection คือความสามารถในการรวบรวมข้อมูล log จาก เครื่องแม่ข่ายและอุปกรณ์กำเนิดข้อมูล log ประเภทต่าง ๆ ทั้งแบบการส่งข้อมูลมายัง SSIEM โดยตรง ผ่านโปรโตคอลมาตรฐานทั่วไป เช่น Syslog หรือติดตั้งตัวจัดเก็บข้อมูล (Collector Sensor) บนเครื่องแม่ข่ายและอุปกรณ์กำเนิดข้อมูล log คุณสมบัติข้อนี้มีความสำคัญในแง่ที่ว่า เครื่องแม่ข่ายและอุปกรณ์กำเนิดข้อมูล log ใช้ระบบปฏิบัติการที่แตกต่างกัน จัดเก็บข้อมูล log ในรูปแบบที่แตกต่างกัน ซึ่งผู้ผลิต SIEM แต่ละราย จะระบุรายการของอุปกรณ์และระบบปฏิบัติการ และโปรโตคอลที่ SIEM ของตนรองรับ

Aggregation คือความสามารถในการรวบรวมข้อมูลจากข้อมูล log ที่รับมาจากอุปกรณ์ต่าง ๆ ซึ่งมีรูปแบบข้อมูลที่แตกต่างกัน นำมาจัดเก็บให้อยู่ในรูปแบบเดียวกัน เพื่อประโยชน์ในวิเคราะห์และแสดงผล โดยทั่วไปอุปกรณ์กำเนิดข้อมูล log เช่น เราท์เตอร์ ไฟร์วอลล์ IPS รวมทั้งโปรแกรมประยุกต์ ระบบฐานข้อมูล และเว็บเซิฟเวอร์ ต่างก็มีรูปแบบข้อมูล log ของตนเอง SIEM จะต้องสามารถนำข้อมูลมาจัดเก็บในรูปแบบมาตรฐานและลดความซ้ำซ้อน (Normalization) ของข้อมูลที่รับมาจัดเก็บไว้ในระบบ SSIEM โดยต้องคงความหมายของข้อมูลเดิมไว้ และจัดเก็บให้ง่ายต่อการสืบค้นและการประมวลผล เนื่องจากข้อมูล log มีปริมาณมากและซ้ำซ้อนเป็นธรรมชาติ พื้นที่ในการจัดเก็บและประสิทธิภาพในการเข้าถึงข้อมูล log จึงขึ้นกับความสารมารถในการรวบรวมข้อมูลและการทำ Normalization โดยทั่วไประบบ SIEM จะจัดเก็บข้อมูล log ส่วนที่ทำ Normalize แล้วและต้องถูกสืบค้นบ่อย ไว้ในระบบฐานข้อมูล เช่น IP ต้นทางและปลายทาง หมายเลขพอร์ต ตารางรหัสผู้ผลิต เป็นต้น ส่วนข้อมูล log ที่เป็นข้อมูลจำเพาะอื่น ๆ จะเก็บไว้ในรูปแบบแฟ้มข้อมูลระบบ

Correlation คือความสามารถในการหาความสัมพันธ์ของข้อมูล ตามเงื่อนไขที่กำหนดไว้ ตัวอย่างเช่น “มี IP ใดบ้างที่เชื่อมต่อเข้ามายัง IP ภายในองค์กรด้วยหมายเลขพอร์ตปลายทางที่สูงกว่า 1024 และถูกไฟร์วอลล์หรือ IPS ตัดการเชื่อมต่อมากกว่า 1,000 เหตุการณ์ต่อ 10 นาที ภายใน 24 ชั่วโมง” หรือ “มี IP ภายในองค์ใดบ้างที่เชื่อมต่อออกไปยัง IP ภายนอกโดยมีพอร์ตต้นทางเป็น 56444 และหมายเลขพอร์ตปลายทางเป็น 16464 หรือ 16465” หรือ “มี IP ใดบ้างที่เชื่อมต่อเข้ามายังเว็บเซิฟเวอร์ขององค์กรด้วยหมายเลขพอร์ตปลายทางที่ไม่ใช่พอร์ต 80 เป็นจำนวนมากกว่า 6000 เหตุการณ์ต่อ 10 นาที” เป็นต้น จะเห็นได้ว่าความสามารถข้อนี้มีประโยชน์อย่างยิ่งในแง่ของความมั่นคงปลอดภัยสารสนเทศและการพิสูจน์พยานหลักฐานดิจิทัล

Alerting คือความสามารถในการแจ้งเตือนไปยังผู้ดูแลระบบ เมื่อตรวจพบข้อมูล log ที่สอดคล้องกับเงื่อนไขที่ตั้งไว้หรือเมื่อมีการตรวจพบผลของการทำ Correlation ตามเงื่อนไขที่กำหนด ซึ่งระบบการแจ้งเตือนควรจะต้องส่งผ่านช่องทาง อีเมลได้เป็นอย่างน้อย เพื่อให้ผู้ดูแลระบบหรือผ้เกี่ยวข้องรับมือกับเหตุการณ์ที่เกิดขึ้นได้อย่างทันท่วงที

Dashboards นำเสนอกระดานแสดงสถานะข้อมูลระบบ เพื่อให้ผู้ดูแลระบบบริหารจัดการข้อมูลได้สะดวก เนื่องจาก SIEM นั้นเป็นมีข้อมูลข่าวสารที่สำคัญหลากหลายซึ่งไม่สะดวกและไม่ทันท่วงทีหากไม่มี Dashboard

Compliance ความสามารถในการรวบรวมข้อมูล log เพื่อนำเสนอรายงานความสอดคล้องตามกฎเกณฑ์มาตรฐาน เช่น ISO 27001, PCI, FISMA

Retention รองรับการจัดเก็บข้อมูลในระยะยาวเพื่อการวิเคราะห์

Threat Intelligent คือความสามารถในการรับข้อมูลจากแหล่งรวบรวมข้อมูลภัยคุกคาม (Threat Management) จากอินเตอร์เนท ข้อมูลดังกล่าวก็อย่างเช่น รายการ IP ที่ถูกขึ้นบัญชีดำ รูปแบบการเรียกใช้ข้อมูลผ่าน URL ที่เป็นอันตราย รวมทั้งช่องโหว่ที่มีผู้แจ้งเอาไว้ SIEM นำมาข้อมูลดังกล่าวมาประมวลผลร่วมกับ Correlation เพื่อคัดกรองหาร่องรอยหรือแนวโน้มภัยคุกคามสารสนเทศหรือช่องโหว่ นอกจาก Treat Intelligent ของผู้ผลิตบางราย ยังสามารถให้คำแนะนำในการแก้ไขช่องโหว่หรือภัยคุกคามที่ตรวจพบจากข้อมูล log ได้อีกด้วย

Incident Management มีความสามารถในการจัดการ Incident ที่เกิดขึ้น กล่าวคือเมื่อ Correlation ตรวจพบข้อมูลสอดคล้องตามเงื่อนไขที่กำหนดก็จะนำไปสร้างเป็นรายการปัญหาที่ตรวจพบ (incident) ซึ่งจะต้องมีรายละเอียดของปัญหา ระดับความเร่งด่วน ระดับความความรุนแรง รวมถึงข้อมูลจำเป็นอื่น ๆ เพื่อให้ผู้ดูแลระบบ ติดตาม แก้ปัญหา และบันทึกไว้เป็นการอ้างอิงได้ต่อไป

สังเกตว่า SIEM ต้องใช้ทรัพยากรของระบบในการประมวลผลสูง และเกิดคอขวดได้ง่าย เมื่อมีจำนวนข้อมูล log นำเข้าสู่ระบบมากขึ้น SIEM ควรจะมีคุณสมบัติในการรองรับการเพิ่มประสิทธิภาพทั้งแบบการเพิ่มขีดความสามารถด้วยการเพิ่มประสิทธิภาพของทรัพยกรระบบ (Scale Up) และแบบขยายเพิ่มจำนวนทรัพยากรระบบ (Scale Out) โดยเฉพาะอย่างยิ่ง หน่วยจัดเก็บข้อมูล ซึ่งควรจะรองรับการเชื่อมต่อกับ SAN และ NAS

Clear